Multi-Faktor-Authentifizierung: Unterschied zwischen den Versionen

Aus MoodleDocs
Wechseln zu:Navigation, Suche
HauptseiteMoodle administrierenAuthentifizierungMulti-Faktor-Authentifizierung
Authentifizierung
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Übersetzen}}
{{Authentifizierung}}{{Neu}}
{{Authentifizierung}}{{Neu}}
==Was ist Multi-Faktor-Authentifizierung (MFA)?==
==Was ist Multi-Faktor-Authentifizierung (MFA)?==
Zeile 8: Zeile 6:


==Multi-Faktor-Authentifizierung verwalten==
==Multi-Faktor-Authentifizierung verwalten==
From Site administration > Plugins > Admin tools > Manage multi-factor authentication, you can turn MFA on by checking the box MFA plugin enabled.  
Auf der Seite ''Website-Administration > Plugins > Dienstprogramme > Multi-Faktor-Authentifizierung verwalten'' können Sie MFA aktivieren, indem Sie die Checkbox ''MFA Plgin aktiviert'' markieren.


If you’re configuring MFA for your site for the first time, we recommend that you check out the [[Multi-factor authentication#Recommendations and example setups|Recommendations and example setups]] to streamline the experience for your users.
Wenn Sie zum 1. Mal MFA für Ihre Moodle-Site konfigurieren, lesen Sie die [[Multi-Faktor-Authentifizierung#Empfehlungen und Beispielkonfigurationen|Empfehlungen und Beispielkonfigurationen]], um die Nutzerfreundlichkeit zu verbessern.  
=== Weights and factors ===
In Site administration > Plugins > Admin tools > Manage multi-factor authentication, you can see a list of the available factors and select the ones that make up MFA for your site.  


These factors have weight points, and users have to reach 100 points in order to be able to log in. By configuring multiple factors and adjusting their weights, you can create complex and flexible rules for multi-factor authentication.
=== Gewichte und Faktoren ===
Auf der Seite ''Website-Administration > Plugins > Dienstprogramme > Multi-Faktor-Authentifizierung verwalten'' können Sie eine Liste von verfügbaren Faktoren sehen und für Ihre MFA aktivieren.  


For example, you could have two factors with 100 points each, if you want to give users different methods of authentication. Or you could have two factors with 50 points each, meaning that users will have to go through both factors to be able to log in.
Die Faktoren haben Gewichte, und Nutzer/innen müssen insgesamt 100 Punkte erreichen, um sich anzumelden. Durch Konfiguration von mehreren Faktoren und deren Gewichten können Sie komplexe und flexible Regeln für die Multi-Faktor-Authentifizierung erstellen.


During the login process, factors that don't require user input, like IP address or user role, are assessed first. Then, the remaining factors are evaluated in order of weight, starting from the highest, until either the cumulative points reach the login threshold (100) or all factors have been checked and login is denied.
Zum Beispiel können Sie zwei Faktoren mit jeweils 100 Punkten aktivieren, wenn Sie Ihren Nutzer/innen zwei verschiedene Möglichkeiten zur Authentifizierung geben wollen. Oder Sie verwenden zwei Faktoren mit jeweils 50 Punkten, wenn Ihre Nutzer/innen beide Faktoren erfüllen sollen, um sich anzumelden.
==== Verfügbare Authentifizierungsfaktoren ====


===== Standard authentication factors =====
Während des Anmeldprozesses werden zuerst die Faktoren geprüft, die keine Nutzereingabe erfordern, z.B. IP-Adresse oder Nutzer-Rolle. Danach werden die restlichen Faktoren in der Reihenfolge ihrer Gewichte geprüft, beginnend mit dem höchsten Gewicht. Die Prüfung endet, sobald in der Summe 100 Punkte erreicht sind oder alle Faktoren geprüft und die Anmeldung abgelehnt wurde.
These are well known, usual authentication factors used in many products and software:


'''Email''': This factor requires users to enter a code received via email during the login process. When a user attempts to log in, the system generates a unique, temporary code and sends it to the user’s registered email address. The user must then enter this code along with their password to successfully complete the login process. This code has a limited validity period, which you can customise, ensuring that it cannot be used for unauthorised access.
==== Verfügbare Authentifizierungsfaktoren ====
 
'''Authenticator app''': This factor uses a mobile application to generate a temporary code for user authentication. During the login process, Moodle prompts the user to enter a code generated by their authenticator app, in addition to their password. This code changes periodically, ensuring that it can’t be reused for unauthorised access. '''Users must have an app installed on their mobile device and configure this factor themselves.'''
 
'''Security key''': This factor utilises physical hardware tokens, like USB or NFC security keys, or physical biometrics such as fingerprints. During the login process, users must physically use their security on their device to verify their identity. '''Users must configure this factor themselves'''.
 
'''IP range''': This factor utilises users’ IP address to verify their identity, providing enhanced security when accessing from a trusted network. It requires no upfront setup from your users, allowing you to configure full login access on a trusted network. '''This factor requires no setup by your users.'''
===== User-filtering factors =====
User-filtering factors are a way to easily create groups of users who will or will not be required to use multi-factor authentication (MFA).


'''Non administrator''': This factor requires only administrators to have two or more authentication factors, while not affecting other users. It does so by giving factor points to all users who are not an administrator.
===== Standard-Faktoren =====
'''Authentication type:''' This factor allows certain users to skip additional authentication steps based on their authentication type. This can be useful for situations where certain authentication types, such as [https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language SAML] via [https://en.wikipedia.org/wiki/Active_Directory_Federation_Services ADFS] , already provide a high level of security, making additional authentication checks unnecessary.
Das sind wohlbekannte Authentifizierungsfaktoren, die in vielen (Software) Produkten verwendet werden:


'''Role''': This factor has to be used in combination with other factors, as it allows you to specify which roles must use other factors to authenticate. For example, it enables you to require that individuals with elevated access privileges, such as managers and administrators, undergo a more stringent authentication process, while other non-specified roles such students can bypass MFA.
*'''E-Mail''': Dieser Faktor verlangt, dass die Nutzer/innen einen Code eingeben, den Sie per E-Mail erhalten. Wenn eine Person versucht, sich anzumelden, generiert Moodle einen einmaligen, temporärr gültigen Code und schickt diesen an die E-Mail-Adresse der Person. Die Person muss den Code zusammen mit ihrem Passwort eingeben, um sich erfolgreich anzumelden. Der Code hat eine zeitlich begrenzte, konfigurierbare Gültigkeit, um Missbrauch zu verhindern.
*'''Authenticator-App''': Dieser Faktor nutzt eine mobile App, um einen temporären Code für die Nutzerauthentifizierung zu generieren. Während des Anmeldeprozesses verlangt Moodle die Eingabe dieses Codes zusätzlich zur Passworteingabe. Der Code wird regelmäßig erneuert, um eine missbräuchliche Verwendung zu verhindern. '''Nutzer/innen müssen eine  App auf ihren mobilen Endgeräten installieren und diesen Faktor selbst konfigurieren.'''
*'''Sicherheitsschlüssel''': Dieser Faktor verwendet technische Hardwaretokens, wie z.B. USB oder NFC Sicherheitsschlüssel, oder biometrische Daten, wie z.B. Fingerabdrücke. Während des Anmeldeprozesses müssen Nutzer/innen diese Schlüssel verwenden, um ihre Identität nachzuweisen. '''Nutzer/innen müssen diesen Faktor selbst konfigurieren.'''
*'''IP-Bereich''': Dieser Faktor verwendet die IP-Adresse der Nutzer/innen, um deren Identität zu prüfen. Er bietet damit eine erhöhte Sicherheit, wenn Nutzer/innen über ein vertrauenswürdiges Netzwerk auf Moodle zugreifen. Die Moodle-Administration trägt den IP-Bereich des vertrauensüwrdigen Netzwerks ein. '''Ihre Nutzer/innen müssen bei diesem Faktor nichts konfigurieren.'''


'''Cohort''': This factor has to be used in combination with other factors, as it allows you to specify which cohorts must use other factors to authenticate.
===== Nutzer-filternde Faktoren =====
Nutzer-filternde Faktoren sind eine Möglichkeit, auf einfache Weise Gruppen von Nutzer/innen zu erstellen, von denen eine Multi-Faktor-Authentifizierung verlangt wird oder nicht verlangt wird.
*'''Nicht-Administrator/in''': Dieser Faktor erfordert nur von Administrator/innen, dass sie sich mit zwei oder mehr Faktoren authentifizieren (weil Admin-Konten aus Sicherheitsgründen besonders schützenswert sind), während alle anderen Nutzer/innen nur ihr Passwort benötigen. Das funktioniert, indem alle Nutzer/innen Faktorpunkte bekommen, die keine Administrator/innen sind.
*'''Authentifizierungstyp''': Dieser Faktor ermöglicht es bestimmten Nutzer/innen, basierend auf ihrem Authentifizierungstyp, zusätzliche Authentifizierungsschritte zu überspringen. Das kann nützlich sein, wenn bestimmte Authentifizierungstypen, wie [https://de.wikipedia.org/wiki/Security_Assertion_Markup_Language SAML] via [https://de.wikipedia.org/wiki/Active_Directory_Federation_Services Active_Directory] bereits ein hohes Maß an Sicherheit bieten und zusätzliche Prüfungen überflüssig machen.
*'''Rolle''': Dieser Faktor muss in Kombination mit anderen Faktoren verwendet werden, denn er ermöglicht es festzulegen, welche Rollen weitere Faktoren zur Authentifizierung benötigen. Z.B. erlaubt er, dass Nutzer/innen mit erweiterten Rechten, wie z.B. Manager/innen und Administrator/innen, einen strengeren Autghentifizierungsprozess durchlaufen müssen, während andere nicht-privilegierte Rollen die MFA umgehen können.
*'''Globale Gruppe''': Dieser Faktor muss in Kombination mit anderen Faktoren verwendet werden, denn er ermöglicht es festzulegen, welche globalen Gruppen weitere Faktoren zur Authentifizierung benötigen.
*'''Nutzerrecht''': Dieser Faktor funktioniert ähnlich wie der Faktor '''Rolle''' und muss ebenfalls mit anderen Faktoren kombiniert werden. Er Faktor prüft, welche Nutzer/innen das Recht [[Capabilities/factor/capability:cannotpassfactor|factor/capability:cannotpassfactor]] auf Systemebene haben. Nutzer/innen, bei denen dieses Recht NICHT auf ''erlauben'' gesetzt ist, bekommen für diesen Faktor Punkte und können so die MFA umgehen, während (privilegierte) Nutzer/innen mit diesem Recht weitere Faktoren zur Authentifizierung benötigen.
: Zum Beispiel können Sie in der Manager-Rolle dieses Recht auf ''erlauben'' setzen. Wenn Manager/innen sich in Moodle anmelden, benötigen sie dann weitere Faktoren zur Authentifizierung, während normale Nutzer/innen nur ihr Passwort benötigen.
: Da Administrator/innen alle Rechte haben, inklusive [[Capabilities/factor/capability:cannotpassfactor|factor/capability:cannotpassfactor]], gibt es eine zusätzliche Einstellung ''Administrator/innen der Website können diesen Faktor bestehen'', so dass Adminsitartor/innen trotz dieses Rechts Punkte für diesen Faktor bekommen können.


'''User capability''': This factor is similar to the Role factor, and must also be combined with other factors, as it allows you to specify which users must use other factors to authenticate. It does so by checking whether users have the capability ‘factor/capability:cannotpassfactor’ at system level. Users who do not have the capability ‘factor/capability:cannotpassfactor’ will be given points for this factor and can bypass MFA, while users with this capability will need to use another type of authentication.
===== Weitere Faktoren =====
Die folgenden Faktoren bieten zusätzliche Flexibilität und Kontrolle beim Authentifizierungsprozess:


For example: You assign the capability ‘factor/capability:cannotpassfactor’ to all Managers, and also enable the Email factor. When a Manager logs in, they will have to use the Email factor. But when a student tries to log in, they will not.  
*'''Vertrauensvolles Gerät''': Dieser Faktor ermöglicht es Nutzer/innen, ein Gerät als vertrauenswürdig in Bezug auf MFA zu kennzeichnen. Sobald ein Gerät vertrauenswürdig ist, können Nutzer/innen die MFA in einem festgelegten Zeitraum umgehen, wenn sie sich von diesem gerät aus in Moodle anmelden.
:Um diese Funktionalität effektiv zu nutzen, geben Sie diesem Faktor ein Gewicht von 100 Punkten.
*'''Kulanzzeit''': Dieser Faktor ist essenziell, wenn Sie Faktoren nutzen, die eine Konfiguration auf Seiten Ihrer Nutzer/innen erfordern, wie z.B. '''Authenticator-App''' oder '''Sicherheitsschlüssel'''. Er erlaubt es Nutzer/innen, sich in einem bestimmten Zeitraum ohne MFA anzumelden. Damit wird eine Pufferzeit bereitgestellt, in der Nutzer/innen Zeit haben, ihre MFA Konfiguration einzurichten. Nutzer/innen erhalten während dieser Pufferzeit beim Anmeldeprozess einen Warnhinweis, dass sie die MFA Konfiguration einrichten müssen, um nach Ablauf der Frist nicht ausgesperrt zu sein.
:Um diese Funktionalität effektiv zu nutzen, geben Sie diesem Faktor 100 Punkte. Um für diesen Faktor Punkte zu bekommen, darf es keinen anderen Faktor geben, der Nutzereingaben während des Anmeldeprozesses erfordert. Platzieren Sie diesen Faktor am Ende der Liste aller aktiven Faktoren, um sicherzustellen, dass alle anderen Faktoren vorher geprüft werden.
:Wenn Nutzer/innen die MFA Konfiguration nach Ablauf der Kulanzzeit nicht eingerichtet haben, können sie sich nicht mehr anmelden. Um ihnen weiter Moodle-Zugriff zu gewähren, können Sie nur die Kulanzzeit verlängern oder andere Faktoren temporär aktivieren, wie z.B. '''IP-Bereich''' oder '''Rolle'''.
*'''Keine weiteren Faktoren''': Dieser Faktor erlaubt es Nutzer/innen, sich anzumelden, wenn sie keinen anderen MFA Faktor eingerichtet haben. Wenn Sie z.B. MFA anbieten wollen, aber nicht obligatorisch, geben Sie diesem Faktor 100 Punkte, um Nutzer/innen, die keinen zusätzlichen Faktor nutzen wollen, zu ermöglichen, sich anzumelden. Sobald ein anderer Faktor eingerichtet ist, erhalten sie keine Punkte mehr für diesen Faktor.


Since Admin users have all capabilities allowed by default, including “factor/capability:cannotpassfactor”, there’s an additional setting that will allow Admins to gain points for this factor despite having the capability.
=== Was müssen die Nutzer/innen tun? ===
===== Other factors =====
Wenn Sie die Faktoren '''Authenticator-App''' und '''Sicherheitsschlüssel''' aktivieren, müssen Ihre Nutzer/innen die Multi-Faktor-Authentifizierung selbst konfigurieren. Die Nutzer/innen können die Authentifizierungseinstellungen über ihr ''Nutzermenü > Einstellungen > Multi-Faktor-Authentifizierung'' vornehmen. Auf dieser Seite können sie die App bzw.den Sicherheitsschlüssel einrichten und diese Einstellungen rückgängig machen.
These factors provide additional flexibility and control over the authentication process.
 
'''Trust this device''': This factor allows users to mark a device as trusted during MFA logins. Once a device is designated as trusted, users can bypass MFA for a specified period of time when logging in from that device.
 
To implement this feature effectively, assign a score of 100 points to this factor.
 
'''Grace period''': This factor is essential when you turn on factors that require upfront setup from users, like authenticator app or security key. It allows users to log in without engaging with multi-factor authentication (MFA) for a specified time frame, providing a buffer period to complete the setup of additional authentication factors. If a user is still within their grace period upon reaching the first post-login page, regardless of whether they used grace mode as a login factor, a notification will inform them of the remaining grace period length and the potential need to set up additional factors to prevent account lockout when the grace period expires.  
 
To implement this feature effectively, assign a score of 100 points to this factor. To receive points for this factor, there must be no other user-input factors requiring user interaction during the login process. Place this factor at the end of the list to ensure all other factors are addressed first.
 
If the grace period ends and users have not set up their authentication methods, they will not be able to log in to your site. You can extend the grace period to allow them to log in, or enable other factors temporarily, such as IP range or role.
 
'''No other factors''': This factor allows people to log in if they have not set up any other MFA factors. For example, if you want to offer MFA to your users but not make it compulsory, give 100 points to ‘no other factors’ to allow those who don’t want to use MFA to log in to the site. Once another factor is set up for a user, they will no longer gain points for this one.
 
=== User setup ===
If you enable the factors '''Authenticator app''' and '''Security key''', your users will need to configure multi-factor authentication themselves. The authentication settings can be accessed through User menu > Preferences > Multi-factor authentication preferences. There, they will be able to set up and see their authenticator apps or security keys, as well as revoke access to any factors they have configured.


== Empfehlungen und Beispielkonfigurationen ==
== Empfehlungen und Beispielkonfigurationen ==
Wenn Sie für Ihre Moodle-Site MFA einrichten, ist es wichtig, die Sicherheit zu erhöhem, aber gleichzeitig eine nutzerfreundliche Handhabung zu gewährleisten, dass Ihre Nutzer/innen sich problemlos anmelden können, wenn sie die richtigen Schritte tun.


 
Hier kommen einige Empfehlungen, um eine nutzerfreundlichen Anmeldeprozess einzurichten:
When setting up MFA for your site, it’s important to ensure that you’re making your site more secure, but also creating a good experience for your users, including making sure that they are able to log in if they follow the right steps. Here are some recommendations to ensure that MFA is streamlined for your users:
# Nutzen Sie den Faktor '''Kulanzzeit''', wenn Sie MFA mit Faktoren einführen, die Konfigurationsschritte auf Seiten Ihrer Nutzer/innen erfordern (d.h. bei '''Authenticator-App''' oder '''Sicherheitsschlüssel'''). Das gibt Ihren Nutzer/innen Zeit, diese Konfiguration vorzunehmen, bevor eine MFA Pflicht wird.
# Make sure you turn on the '''Grace period''' factor when you turn on an authentication factor that requires users to configure something themselves ('''Authenticator app''' or '''Security key'''). This will give your users time to set up MFA before they are required to use it.
# Wenn Sie MFA nicht verpflichtend machen wollen, aktivieren Sie die Option '''Keine weiteren Faktoren'''. Das erlaubt es Nutzer/innen, die keine weiteren Faktoren haben, sich nur mit ihrem Passwort anzumelden.  
# If you don’t want to make MFA mandatory, enable '''No other factors'''. This will allow users with no other factors to log in using only their password.  
# Der Faktor '''IP-Bereich''' ist eine einfache Authentifizierungsmethode, wenn alle Nutzer/innen dassselbe Netzwerk nutzen. Sobald Nutzer/innen sich mit diesem Faktor angemeldet haben, können Sie ihnen erlauben, weitere Faktoren einzurichten, z.B. '''Authenticator-App''' und dann diesen Faktor zu bverwenden, wenn sie sich außerhalb des sicheren Netzwerks befinden und sich in Moodle anmelden wollen.
# '''IP range''' factor is a very straightforward authentication method if all your users are using the same network. Once users are logged in using this factor, you can allow them to set up additional factors, such as an authenticator app, and then use those other factors to log in when not on your secure network.  


=== Beispielkonfigurationen ===
=== Beispielkonfigurationen ===
Zeile 81: Zeile 69:
# Sie können den Faktor '''Vertrauensvolles Gerät''' aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.
# Sie können den Faktor '''Vertrauensvolles Gerät''' aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.
# Informieren Sie Ihre Nutzer/innen, dass die E-Mail-Verifizierung aktiviert ist. Beim nächsten Login sehen die Nutzer/innen eine Nachricht, dass sie ihr E-Mail-Postfach prüfen und den zugesandten Code eingeben sollen.  
# Informieren Sie Ihre Nutzer/innen, dass die E-Mail-Verifizierung aktiviert ist. Beim nächsten Login sehen die Nutzer/innen eine Nachricht, dass sie ihr E-Mail-Postfach prüfen und den zugesandten Code eingeben sollen.  


'''b) Authentificator-App'''
'''b) Authentificator-App'''
# Aktivieren Sie MFA.
# Aktivieren Sie MFA.
# Aktivieren Sie den Faktor '''Kulanzzeit''' und geben Sie ihm 100 Punkte. This will allow your users a period of time to set up their authenticator apps and prevent them from being locked out of your site. Use the '''Grace period warning banner''' to let your users know that MFA will be enabled soon and encourages them to set up their authenticator app.  
# Aktivieren Sie den Faktor '''Kulanzzeit''' und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den ''Inhalt des Warnfelds'', um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
# Aktivieren Sie den Faktor '''Authenticator-App''' und geben Sie ihm 100 Punkte.
# Aktivieren Sie den Faktor '''Authenticator-App''' und geben Sie ihm 100 Punkte.
# You can turn on '''Trust your device''' to allow your users to bypass MFA for a specified period of time after they have verified it with MFA for the first time.
# Sie können den Faktor '''Vertrauensvolles Gerät''' aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.




Zeile 92: Zeile 81:
# Aktivieren Sie MFA.
# Aktivieren Sie MFA.
# Aktivieren Sie den Faktor '''E-Mail''' und geben Sie ihm 100 Punkte.
# Aktivieren Sie den Faktor '''E-Mail''' und geben Sie ihm 100 Punkte.
# Turn on the factor '''Grace period''' and give it 100 points. This will allow your users a period of time to set up their authenticator apps and prevent them from being locked out of your site. Use the '''Grace period warning banner''' to let your users know that MFA will be enabled soon and encourages them to set up their authenticator app.  
# Aktivieren Sie den Faktor '''Kulanzzeit''' und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den ''Inhalt des Warnfelds'', um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
# Turn on the factor '''Authenticator app''' and give it 100 points.
# Aktivieren Sie den Faktor '''Authenticator-App''' und geben Sie ihm 100 Punkte.
# You can turn on '''Trust your device''' to allow your users to bypass MFA for a specified period of time after they have verified it with MFA for the first time.
# Sie können den Faktor '''Vertrauensvolles Gerät''' aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.




Zeile 100: Zeile 89:
# Aktivieren Sie MFA.
# Aktivieren Sie MFA.
# Aktivieren Sie den Faktor '''E-Mail''' und geben Sie ihm 50 Punkte.  
# Aktivieren Sie den Faktor '''E-Mail''' und geben Sie ihm 50 Punkte.  
# Turn on the factor '''Grace period''' and give it 100 points. This will allow your users a period of time to set up their authenticator apps and prevent them from being locked out of your site. Use the '''Grace period warning banner''' to let your users know that MFA will be enabled soon and encourages them to set up their authenticator app.  
# Aktivieren Sie den Faktor '''Kulanzzeit''' und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den ''Inhalt des Warnfelds'', um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
# Turn on the factor '''Authenticator app''' and give it 50 points. Users will have to pass both factors to get to 100 points and be able to log in.
# Aktivieren Sie den Faktor '''Authenticator-App''' und geben Sie ihm 50 Punkte. Nutzer/innen müssen beide Faktoren erfüllen, um auf 100 Punkte zu kommen und sich anzumelden.
# You can turn on Trust your device to allow your users to bypass MFA for a specified period of time after they have verified it with MFA for the first time.
# Sie können den Faktor '''Vertrauensvolles Gerät''' aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.


==Zusammenfassung guter Bedingungen für die Anmeldung==
==Zusammenfassung guter Bedingungen für die Anmeldung==
Zeile 112: Zeile 101:
*'''Inhalt / Dateien der Anleitungsseite''' - hier können Sie Anleitungen zu MFA eintragen oder hochladen.
*'''Inhalt / Dateien der Anleitungsseite''' - hier können Sie Anleitungen zu MFA eintragen oder hochladen.


===Problem: Admin hat sich ausgesperrt - was tun?===
==Problem: Admin hat sich ausgesperrt - was tun?==
Seien Sie als Administrator/in vorsichtig, wenn Sie MFA konfigurieren und die Faktoren testen, dass Sie sich nicht selbst aus Ihrer Moodle-Site aussperren. Sollte das dennoch passieren, können Sie MFA von der Kommandozeile aus deaktivieren, indem Sie folgenden Befehl ausführen:
Seien Sie als Administrator/in vorsichtig, wenn Sie MFA konfigurieren und die Faktoren testen, dass Sie sich nicht selbst aus Ihrer Moodle-Site aussperren. Sollte das dennoch passieren, können Sie MFA von der Kommandozeile aus deaktivieren, indem Sie folgenden Befehl ausführen:
<syntaxhighlight lang="php">
<syntaxhighlight lang="php">

Aktuelle Version vom 18. Januar 2024, 13:26 Uhr

Neue Funktionalität
in Moodle 4.3!

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi-Faktor-Authentifizierung ist eine Sicherheitsmaßnahme, die von Nutzer/innen bei der Authentifizierung verlangt, ihre Identität anhand von zwei oder mehr Faktoren nachzuweisen. Faktoren können sein: etwas, dass die Nutzer/innen kennen (z.B. ein Passwort), etwas, dass sie besitzen (z.B. ein Handy) oder etwas, dass sie einzigartig macht (z.B. ein Fingerabdruck).

MFA hilft, die Sicherheit Ihrer Moodle-Site zu verbessern, weil es für potentielle Angreifer/innen schwieriger ist, mehrere Faktoren zu kompromittieren.

Multi-Faktor-Authentifizierung verwalten

Auf der Seite Website-Administration > Plugins > Dienstprogramme > Multi-Faktor-Authentifizierung verwalten können Sie MFA aktivieren, indem Sie die Checkbox MFA Plgin aktiviert markieren.

Wenn Sie zum 1. Mal MFA für Ihre Moodle-Site konfigurieren, lesen Sie die Empfehlungen und Beispielkonfigurationen, um die Nutzerfreundlichkeit zu verbessern.

Gewichte und Faktoren

Auf der Seite Website-Administration > Plugins > Dienstprogramme > Multi-Faktor-Authentifizierung verwalten können Sie eine Liste von verfügbaren Faktoren sehen und für Ihre MFA aktivieren.

Die Faktoren haben Gewichte, und Nutzer/innen müssen insgesamt 100 Punkte erreichen, um sich anzumelden. Durch Konfiguration von mehreren Faktoren und deren Gewichten können Sie komplexe und flexible Regeln für die Multi-Faktor-Authentifizierung erstellen.

Zum Beispiel können Sie zwei Faktoren mit jeweils 100 Punkten aktivieren, wenn Sie Ihren Nutzer/innen zwei verschiedene Möglichkeiten zur Authentifizierung geben wollen. Oder Sie verwenden zwei Faktoren mit jeweils 50 Punkten, wenn Ihre Nutzer/innen beide Faktoren erfüllen sollen, um sich anzumelden.

Während des Anmeldprozesses werden zuerst die Faktoren geprüft, die keine Nutzereingabe erfordern, z.B. IP-Adresse oder Nutzer-Rolle. Danach werden die restlichen Faktoren in der Reihenfolge ihrer Gewichte geprüft, beginnend mit dem höchsten Gewicht. Die Prüfung endet, sobald in der Summe 100 Punkte erreicht sind oder alle Faktoren geprüft und die Anmeldung abgelehnt wurde.

Verfügbare Authentifizierungsfaktoren

Standard-Faktoren

Das sind wohlbekannte Authentifizierungsfaktoren, die in vielen (Software) Produkten verwendet werden:

  • E-Mail: Dieser Faktor verlangt, dass die Nutzer/innen einen Code eingeben, den Sie per E-Mail erhalten. Wenn eine Person versucht, sich anzumelden, generiert Moodle einen einmaligen, temporärr gültigen Code und schickt diesen an die E-Mail-Adresse der Person. Die Person muss den Code zusammen mit ihrem Passwort eingeben, um sich erfolgreich anzumelden. Der Code hat eine zeitlich begrenzte, konfigurierbare Gültigkeit, um Missbrauch zu verhindern.
  • Authenticator-App: Dieser Faktor nutzt eine mobile App, um einen temporären Code für die Nutzerauthentifizierung zu generieren. Während des Anmeldeprozesses verlangt Moodle die Eingabe dieses Codes zusätzlich zur Passworteingabe. Der Code wird regelmäßig erneuert, um eine missbräuchliche Verwendung zu verhindern. Nutzer/innen müssen eine App auf ihren mobilen Endgeräten installieren und diesen Faktor selbst konfigurieren.
  • Sicherheitsschlüssel: Dieser Faktor verwendet technische Hardwaretokens, wie z.B. USB oder NFC Sicherheitsschlüssel, oder biometrische Daten, wie z.B. Fingerabdrücke. Während des Anmeldeprozesses müssen Nutzer/innen diese Schlüssel verwenden, um ihre Identität nachzuweisen. Nutzer/innen müssen diesen Faktor selbst konfigurieren.
  • IP-Bereich: Dieser Faktor verwendet die IP-Adresse der Nutzer/innen, um deren Identität zu prüfen. Er bietet damit eine erhöhte Sicherheit, wenn Nutzer/innen über ein vertrauenswürdiges Netzwerk auf Moodle zugreifen. Die Moodle-Administration trägt den IP-Bereich des vertrauensüwrdigen Netzwerks ein. Ihre Nutzer/innen müssen bei diesem Faktor nichts konfigurieren.
Nutzer-filternde Faktoren

Nutzer-filternde Faktoren sind eine Möglichkeit, auf einfache Weise Gruppen von Nutzer/innen zu erstellen, von denen eine Multi-Faktor-Authentifizierung verlangt wird oder nicht verlangt wird.

  • Nicht-Administrator/in: Dieser Faktor erfordert nur von Administrator/innen, dass sie sich mit zwei oder mehr Faktoren authentifizieren (weil Admin-Konten aus Sicherheitsgründen besonders schützenswert sind), während alle anderen Nutzer/innen nur ihr Passwort benötigen. Das funktioniert, indem alle Nutzer/innen Faktorpunkte bekommen, die keine Administrator/innen sind.
  • Authentifizierungstyp: Dieser Faktor ermöglicht es bestimmten Nutzer/innen, basierend auf ihrem Authentifizierungstyp, zusätzliche Authentifizierungsschritte zu überspringen. Das kann nützlich sein, wenn bestimmte Authentifizierungstypen, wie SAML via Active_Directory bereits ein hohes Maß an Sicherheit bieten und zusätzliche Prüfungen überflüssig machen.
  • Rolle: Dieser Faktor muss in Kombination mit anderen Faktoren verwendet werden, denn er ermöglicht es festzulegen, welche Rollen weitere Faktoren zur Authentifizierung benötigen. Z.B. erlaubt er, dass Nutzer/innen mit erweiterten Rechten, wie z.B. Manager/innen und Administrator/innen, einen strengeren Autghentifizierungsprozess durchlaufen müssen, während andere nicht-privilegierte Rollen die MFA umgehen können.
  • Globale Gruppe: Dieser Faktor muss in Kombination mit anderen Faktoren verwendet werden, denn er ermöglicht es festzulegen, welche globalen Gruppen weitere Faktoren zur Authentifizierung benötigen.
  • Nutzerrecht: Dieser Faktor funktioniert ähnlich wie der Faktor Rolle und muss ebenfalls mit anderen Faktoren kombiniert werden. Er Faktor prüft, welche Nutzer/innen das Recht factor/capability:cannotpassfactor auf Systemebene haben. Nutzer/innen, bei denen dieses Recht NICHT auf erlauben gesetzt ist, bekommen für diesen Faktor Punkte und können so die MFA umgehen, während (privilegierte) Nutzer/innen mit diesem Recht weitere Faktoren zur Authentifizierung benötigen.
Zum Beispiel können Sie in der Manager-Rolle dieses Recht auf erlauben setzen. Wenn Manager/innen sich in Moodle anmelden, benötigen sie dann weitere Faktoren zur Authentifizierung, während normale Nutzer/innen nur ihr Passwort benötigen.
Da Administrator/innen alle Rechte haben, inklusive factor/capability:cannotpassfactor, gibt es eine zusätzliche Einstellung Administrator/innen der Website können diesen Faktor bestehen, so dass Adminsitartor/innen trotz dieses Rechts Punkte für diesen Faktor bekommen können.
Weitere Faktoren

Die folgenden Faktoren bieten zusätzliche Flexibilität und Kontrolle beim Authentifizierungsprozess:

  • Vertrauensvolles Gerät: Dieser Faktor ermöglicht es Nutzer/innen, ein Gerät als vertrauenswürdig in Bezug auf MFA zu kennzeichnen. Sobald ein Gerät vertrauenswürdig ist, können Nutzer/innen die MFA in einem festgelegten Zeitraum umgehen, wenn sie sich von diesem gerät aus in Moodle anmelden.
Um diese Funktionalität effektiv zu nutzen, geben Sie diesem Faktor ein Gewicht von 100 Punkten.
  • Kulanzzeit: Dieser Faktor ist essenziell, wenn Sie Faktoren nutzen, die eine Konfiguration auf Seiten Ihrer Nutzer/innen erfordern, wie z.B. Authenticator-App oder Sicherheitsschlüssel. Er erlaubt es Nutzer/innen, sich in einem bestimmten Zeitraum ohne MFA anzumelden. Damit wird eine Pufferzeit bereitgestellt, in der Nutzer/innen Zeit haben, ihre MFA Konfiguration einzurichten. Nutzer/innen erhalten während dieser Pufferzeit beim Anmeldeprozess einen Warnhinweis, dass sie die MFA Konfiguration einrichten müssen, um nach Ablauf der Frist nicht ausgesperrt zu sein.
Um diese Funktionalität effektiv zu nutzen, geben Sie diesem Faktor 100 Punkte. Um für diesen Faktor Punkte zu bekommen, darf es keinen anderen Faktor geben, der Nutzereingaben während des Anmeldeprozesses erfordert. Platzieren Sie diesen Faktor am Ende der Liste aller aktiven Faktoren, um sicherzustellen, dass alle anderen Faktoren vorher geprüft werden.
Wenn Nutzer/innen die MFA Konfiguration nach Ablauf der Kulanzzeit nicht eingerichtet haben, können sie sich nicht mehr anmelden. Um ihnen weiter Moodle-Zugriff zu gewähren, können Sie nur die Kulanzzeit verlängern oder andere Faktoren temporär aktivieren, wie z.B. IP-Bereich oder Rolle.
  • Keine weiteren Faktoren: Dieser Faktor erlaubt es Nutzer/innen, sich anzumelden, wenn sie keinen anderen MFA Faktor eingerichtet haben. Wenn Sie z.B. MFA anbieten wollen, aber nicht obligatorisch, geben Sie diesem Faktor 100 Punkte, um Nutzer/innen, die keinen zusätzlichen Faktor nutzen wollen, zu ermöglichen, sich anzumelden. Sobald ein anderer Faktor eingerichtet ist, erhalten sie keine Punkte mehr für diesen Faktor.

Was müssen die Nutzer/innen tun?

Wenn Sie die Faktoren Authenticator-App und Sicherheitsschlüssel aktivieren, müssen Ihre Nutzer/innen die Multi-Faktor-Authentifizierung selbst konfigurieren. Die Nutzer/innen können die Authentifizierungseinstellungen über ihr Nutzermenü > Einstellungen > Multi-Faktor-Authentifizierung vornehmen. Auf dieser Seite können sie die App bzw.den Sicherheitsschlüssel einrichten und diese Einstellungen rückgängig machen.

Empfehlungen und Beispielkonfigurationen

Wenn Sie für Ihre Moodle-Site MFA einrichten, ist es wichtig, die Sicherheit zu erhöhem, aber gleichzeitig eine nutzerfreundliche Handhabung zu gewährleisten, dass Ihre Nutzer/innen sich problemlos anmelden können, wenn sie die richtigen Schritte tun.

Hier kommen einige Empfehlungen, um eine nutzerfreundlichen Anmeldeprozess einzurichten:

  1. Nutzen Sie den Faktor Kulanzzeit, wenn Sie MFA mit Faktoren einführen, die Konfigurationsschritte auf Seiten Ihrer Nutzer/innen erfordern (d.h. bei Authenticator-App oder Sicherheitsschlüssel). Das gibt Ihren Nutzer/innen Zeit, diese Konfiguration vorzunehmen, bevor eine MFA Pflicht wird.
  2. Wenn Sie MFA nicht verpflichtend machen wollen, aktivieren Sie die Option Keine weiteren Faktoren. Das erlaubt es Nutzer/innen, die keine weiteren Faktoren haben, sich nur mit ihrem Passwort anzumelden.
  3. Der Faktor IP-Bereich ist eine einfache Authentifizierungsmethode, wenn alle Nutzer/innen dassselbe Netzwerk nutzen. Sobald Nutzer/innen sich mit diesem Faktor angemeldet haben, können Sie ihnen erlauben, weitere Faktoren einzurichten, z.B. Authenticator-App und dann diesen Faktor zu bverwenden, wenn sie sich außerhalb des sicheren Netzwerks befinden und sich in Moodle anmelden wollen.

Beispielkonfigurationen

Hier finden Sie einige typische MFA Konfigurationen, um die Sicherheit Ihrer Moodle-Site zu verbessern.

a) E-Mail

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor E-Mail und geben Sie ihm 100 Punkte.
  3. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.
  4. Informieren Sie Ihre Nutzer/innen, dass die E-Mail-Verifizierung aktiviert ist. Beim nächsten Login sehen die Nutzer/innen eine Nachricht, dass sie ihr E-Mail-Postfach prüfen und den zugesandten Code eingeben sollen.


b) Authentificator-App

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor Kulanzzeit und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den Inhalt des Warnfelds, um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
  3. Aktivieren Sie den Faktor Authenticator-App und geben Sie ihm 100 Punkte.
  4. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.


c) E-Mail ODER Authenticator-App

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor E-Mail und geben Sie ihm 100 Punkte.
  3. Aktivieren Sie den Faktor Kulanzzeit und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den Inhalt des Warnfelds, um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
  4. Aktivieren Sie den Faktor Authenticator-App und geben Sie ihm 100 Punkte.
  5. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.


d) E-Mail UND Authenticator-App

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor E-Mail und geben Sie ihm 50 Punkte.
  3. Aktivieren Sie den Faktor Kulanzzeit und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den Inhalt des Warnfelds, um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
  4. Aktivieren Sie den Faktor Authenticator-App und geben Sie ihm 50 Punkte. Nutzer/innen müssen beide Faktoren erfüllen, um auf 100 Punkte zu kommen und sich anzumelden.
  5. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.

Zusammenfassung guter Bedingungen für die Anmeldung

Hier werden die gewählten Faktoren und ihre Gewichte aufgelistet. Die Gesamtgewichtung muss 100 betragen.

Allgemeine MFA-Einstellungen

  • MFA Plugin aktiviert - diese Checkbox muss markiert sein, damit MFA funktioniert.
  • URLs, die die MFA-Prüfung nicht umleiten sollen - hier können Sie jede URL relativ zur Site-Root-URL eintragen, die nicht auf MFA-Prüfung umleiten soll.
  • Inhalt / Dateien der Anleitungsseite - hier können Sie Anleitungen zu MFA eintragen oder hochladen.

Problem: Admin hat sich ausgesperrt - was tun?

Seien Sie als Administrator/in vorsichtig, wenn Sie MFA konfigurieren und die Faktoren testen, dass Sie sich nicht selbst aus Ihrer Moodle-Site aussperren. Sollte das dennoch passieren, können Sie MFA von der Kommandozeile aus deaktivieren, indem Sie folgenden Befehl ausführen: 

: php admin/cli/cfg.php --component=tool_mfa --name=enabled --set=0
Abgerufen von „https://docs.moodle.org/403/de/index.php?title=Multi-Faktor-Authentifizierung&oldid=24952
Powered by MediaWiki